breaking news New
  • 8:07 am Norma et Facultas Agendi Diritto oggettivo, diritto soggettivo e facoltà di scelta per gli enti sportivi dilettantistici, alla luce della disciplina contenuta nel codice del terzo settore
  • 2:57 pm Modifiche regolamentari, ecco cosa cambia Introdotte variazioni che riguardano diversi importanti ambiti: dal tesseramento al riconoscimento del premio di preparazione che diventa prerogativa esclusiva delle Società dilettantistiche. Emanate anche le norme relative ai termini per l’invio delle liste di svincolo, le variazioni di tesseramento, i trasferimenti tra club della Lnd e professionistici
  • 2:13 pm 60 anni di LND – Una festa Magnifica A bordo della nave MSC Magnifica, una giornata speciale dedicata alla consegna del pallone dorato simbolo del sessantesimo anniversario della Lnd e dedicato a chi ogni giorno si impegna sul territorio per il bene del calcio
  • 4:14 pm Fine stagione: occhio a debiti e svincoli Nel passaggio da un’annata all’altra bisogna fare attenzione ad alcuni adempimenti di carattere tecnico-operativo inerenti al tesseramento e ai cosiddetti “giudizi definiti”
  • 7:39 am Gli adempimenti amministrativo-fiscali dell’anno 2019

Il regolamento UE 2016/679; le novità da conoscere

Il 25 maggio 2018 è la data a partire dalla quale, a ben due anni dalla sua entrata in vigore1, trova applicazione il Regolamento UE n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, da tutti conosciuto come G.D.P.R. (General Data Protection Regulation).

La nuova normativa è frutto di una visione condivisa a livello europeo di tutela dei dati personali, al cui rispetto sono senza dubbio chiamate anche le Società ed Associazioni Sportive Dilettantistiche, data la mole di dati personali dalle stesse gestite nel normale esercizio delle proprie attività: la raccolta dei dati degli iscritti, le visite mediche, le iscrizioni ai diversi campionati, tutte operazioni, queste, che permettono l’acquisizione di una moltitudine di informazioni riguardanti persone fisiche, in molti casi minori di età, che vengono poi gestite attraverso sistemi informatici e/o archivi cartacei, e che, in ogni caso ne consentono l’identificazione diretta, ad esempio attraverso il nome, o indiretta tramite un numero di identificazione, “svelando” anche elementi caratteristici della identità fisica e, non ultimo, lo stato di salute degli atleti e collaboratori tecnici.

I Soggetti coinvolti

Al pari di quanto stabilito dall’ormai abrogato Codice Privacy (Decreto Legislativo 30 giugno 2003, n. 196 – “Codice in materia di protezione dei dati personali”), anche la nuova normativa è diretta alla tutela della persona umana.

Infatti, il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, con particolare attenzione ai minori, con la precisazione, al comma 3 dell’art. 1, che la libera circolazione dei dati personali nell’Unione non può essere limitata, né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Il GDPR non disciplina, invece, il trattamento dei dati delle persone giuridiche.

Dal lato dei soggetti obbligati troviamo:

-il titolare del trattamento, ossia la persona fisica o giuridica (l’autorità pubblica, il servizio o altro organismo) che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

il responsabile del trattamento: la persona fisica o giuridica (l’autorità pubblica, il servizio o altro organismo) che tratta dati personali per conto del titolare del trattamento;

il terzo: la persona fisica o giuridica(l’autorità pubblica, il servizio o altro organismo) che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Definizioni importanti

Il Regolamento riprende termini già conosciuti in vigenza della precedente normativa, in parte anche ampliandoli.

Il “dato personale” modificato nell’aggettivazione (in vigenza del Codice Privacy si parlava di dati sensibili ) rimane invariato nel contenuto e dunque comprende una qualsiasi informazione riguardante la persona fisica (c.d. interessato, cioè il soggetto che potrebbe veder pregiudicata la propria identità), per mezzo della quale la stessa persona venga identificata, direttamente o indirettamente, o sia identificabile attraverso un identificativo come il nome, un numero di identificazione, i dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica.

Di nuova introduzione, invece, sono i concetti di dati genetici, dati biometrici e dati relativi alla salute, questi ultimi da intendersi quali dati personali attinenti alla salute fisica o mentale, compresa la prestazione di servizi di assistenza sanitaria, che rilevano informazioni relative allo stato di salute (il Codice precedente parlava più genericamente di dati idonei a rilevare lo stato di salute).

Dunque, come per il passato, ciò che rileva ai fini dell’applicazione del GDPR è l’uso che viene fatto dei dati, o più correttamente il “trattamento del dato, vale a dire una qualsiasi operazione o l’insieme di operazioni, manuali o automatizzate, applicate a dati personali (o ad insiemi di dati personali) quali la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Tale trattamento, innanzitutto, deve fondarsi sui principi di:

CORRETTEZZA: ossia rispetto di norme etiche e deontologiche

TRASPARENZA: che si traduce

a) in un’informativa chiara, semplice e concisa tale da assicurare la consapevolezza dell’interessato, con particolare attenzione all’informativa rivolta ai minori,

b) nella predisposizione di strumenti che consentano la disclosure in ogni momento a richiesta dell’interessato stesso2.

LICEITÀ, vale a dire nel rispetto delle norme generali e specifiche dell’ordinamento.

L’art. 6 del GDPR è molto chiaro: il trattamento è lecito solo se via sia almeno una delle seguenti condizioni:

consenso espresso dell’interessato per una o più specifiche finalità. Attenzione: il consenso scritto non è sempre obbligatorio ma sicuramente facilita il titolare del trattamento nella dimostrazione, dovuta, che l’interessato lo abbia prestato;

-necessità di dare esecuzione ad un contratto di cui l’interessato è parte (o a misure precontrattuali adottate su richiesta dell’interessato);

obbligo legale al quale è soggetto il titolare del trattamento;

-salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

– esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

legittimo interesse del titolare del trattamento o di terzi, sempre che non prevalgano interessi o diritti e libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Trattare correttamente i dati non significa solamente impedirne l’uso improprio ovvero la distruzione o la dispersione perché dotatisi di adeguate misure tecniche e organizzative.

Infatti, il Legislatore, chiede anche che il trattamento sia:

limitato nelle finalità e nella conservazione: vale a dire che da un lato i dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; dall’altro lato devono essere conservati per il solo tempo necessario al conseguimento delle finalità per le quali sono trattati. Quindi, ad esempio, se non motivato, non è lecito conservare i dati di tesserati delle precedenti stagioni, così come non lo è conservare i curricula pervenuti;

minimizzato: devono essere trattati solo dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;

esatto, nel senso che i dati devono essere raccolti esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti, sempre tenendo conto delle finalità per le quali sono trattati.

Nuovi concetti

Il Legislatore Europeo ha inteso garantire a monte l’effettività della tutela dei dati, da cui le due nuove definizioni di:

Privacy by design che significa protezione dei dati sin dalla progettazione, per cui il titolare del trattamento deve dotarsi di misure organizzative e strumenti di lavoro che siano tali da garantire a priori, ancor prima dell’inizio del trattamento, il rispetto della privacy

Privacy by default vale a dire il prevedere, come impostazione predefinita, l’utilizzo dei dati nel modo più limitato possibile per i soli fini specifici del singolo trattamento.

Da quanto sopra, a parere di chi scrive appare evidente che la vera novità è proprio la responsabilizzazione (c.d. accountability) di titolari e responsabili del trattamento a cui non vengono imposti adempimenti specifici indifferenziati, ma anzi si riconosce la libertà di decidere autonomamente le modalità, le garanzie ed i limiti del trattamento: libertà che però deve tradursi in un’analisi preventiva del rischio insito nel trattamento, vale a dire il rischio di impatto negativo che il trattamento può avere sulla libertà e sui diritti degli interessati. Tale analisi deve essere effettuata attraverso un insieme di attività specifiche e dimostrabili. Nella valutazione dell’impatto il titolare è libero di scegliere se iniziare il trattamento oppure consultare l’Autorità di Controllo per avere indicazioni circa le misure ulteriori eventualmente da trattare.

 In caso di violazione dei dati personali (c.d. Data breach) vi è l’obbligo di notifica all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui se ne è venuti a conoscenza.

La notifica (non dovuta solo nel caso il cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche) dovrà:

1-descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

2-comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

3-descrivere le probabili conseguenze della violazione dei dati personali;

4-descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche, il titolare del trattamento comunicherà la violazione anche all’interessato senza ingiustificato ritardo, descrivendo, ancora una volta con un linguaggio semplice e chiaro, la natura della violazione dei dati personali.

La comunicazione all’interessato non sarà richiesta nei casi in cui:

a)il titolare del trattamento abbia messo in atto misure tecniche e organizzative adeguate di protezione e tali misure siano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b)il titolare del trattamento abbia successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

c)la comunicazione richiederebbe sforzi sproporzionati, tanto da preferirvi una comunicazione pubblica od una misura simile, tramite la quale gli interessati possano comunque essere informati con analoga efficacia.

Dato l’impianto normativo, in questa sede si è deciso di fornire solo alcuni indicazioni generali3 circa le novità introdotte dal G.D.P.R., in quanto si ritiene che proprio in virtù della responsabilizzazione a cui tutti gli operatori sono chiamati, sia necessario che ciascuna Associazione e Società Sportiva Dilettantistica consideri attentamente la propria situazione di fatto, attraverso l’ausilio di professionisti specializzati nel settore, in modo tale da assumere comportamenti tali da garantire l’effettiva protezione dei dati dei propri associati, tesserati, collaboratori, etc., ricordando anche che le sanzioni previste dal Regolamento sono state definite all’unanimità “draconiane”.

NOTE

1 Il Regolamento è entrato in vigore il 24 maggio 2016, vale a dire il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, avvenuta il 4 maggio 2016.

2 In questa sede non è possibile elencare tutte le informazioni da fornire qualora i dati personali siano o non sia raccolti presso l’interessato, per cui si rimanda, tra l’altro agli articoli. 13 e 14 del GDPR.

3 Si consiglia di consultare il sito https://www.garanteprivacy.it/

 

Login

Welcome! Login in to your account

Remember me Lost your password?

Lost Password